Gizlilik Politikası
Bu gizlilik politikası, çevrimiçi hizmetimiz ve bununla bağlantılı web siteleri, işlevler ve içerikler ile harici çevrimiçi varlıklar (ör. sosyal medya profillerimiz) kapsamında kişisel verilerin (bundan sonra kısaca “veriler”) işlenmesinin türü, kapsamı ve amacı hakkında sizi bilgilendirir (bundan sonra birlikte “çevrimiçi hizmet” olarak anılacaktır). Kullanılan terimler (ör. “işleme” veya “sorumlu”) bakımından, GDPR’nin (DSGVO) 4. maddesindeki tanımlara atıfta bulunuruz.
Sorumlu
Temel Nal / SANAS Rechtsanwälte GbR
Goethestrasse 17
80336 Münih, Almanya
E-posta adresi: info@sanas-legal.de
Sahibi: Temel Nal
Künye bağlantısı: https://sanas-legal.de/impressum/
İşlenen veri türleri:
– Temel veriler (örn. adlar, adresler).
– İletişim verileri (örn. e-posta, telefon numaraları).
– İçerik verileri (örn. metin girişleri, fotoğraflar, videolar).
– Kullanım verileri (örn. ziyaret edilen web siteleri, içeriklere ilgi, erişim zamanları).
– Meta/iletişim verileri (örn. cihaz bilgileri, IP adresleri).
İlgili kişi kategorileri
Çevrimiçi hizmetin ziyaretçileri ve kullanıcıları (bundan sonra ilgili kişiler topluca “kullanıcılar” olarak da anılacaktır).
İşlemenin amacı
– Çevrimiçi hizmetin, işlevlerinin ve içeriklerinin sunulması.
– İletişim taleplerinin yanıtlanması ve kullanıcılarla iletişim kurulması.
– Güvenlik önlemleri.
– Erişim ölçümü/pazarlama
Kullanılan terimler
“Kişisel veriler”, kimliği belirli veya belirlenebilir bir gerçek kişiye (bundan sonra “ilgili kişi”) ilişkin her türlü bilgidir; bir gerçek kişi, özellikle bir ad, bir kimlik numarası, konum verileri, bir çevrimiçi tanımlayıcı (örn. çerez) veya bu gerçek kişinin fiziksel, fizyolojik, genetik, psikolojik, ekonomik, kültürel ya da sosyal kimliğini ifade eden bir veya birden fazla özel özelliğe ilişkin bir tanımlayıcıyla ilişkilendirilmesi suretiyle doğrudan veya dolaylı olarak tanımlanabiliyorsa belirlenebilir kabul edilir.
“İşleme”, kişisel verilerle bağlantılı olarak otomatik yöntemlerle veya otomatik yöntemler olmaksızın gerçekleştirilen her türlü işlem veya işlem dizisidir. Kavram oldukça geniştir ve verilerle ilgili neredeyse her türlü işlemi kapsar.
“Takma adlandırma (pseudonymizasyon)”, kişisel verilerin, ek bilgiler kullanılmaksızın artık belirli bir ilgili kişiye atfedilemeyeceği şekilde işlenmesidir; bu ek bilgilerin ayrı olarak saklanması ve kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiye atanmasını engelleyen teknik ve organizasyonel önlemlere tabi olması koşuluyla.
“Profil oluşturma (profiling)”, kişisel verilerin, bu kişisel verilerin bir gerçek kişiye ilişkin belirli kişisel yönleri değerlendirmek amacıyla kullanıldığı her türlü otomatik işleme türüdür; özellikle bu gerçek kişinin iş performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışı, bulunduğu yer veya yer değişikliklerine ilişkin yönleri analiz etmek veya öngörmek için.
“Sorumlu”, kişisel verilerin işlenmesinin amaçları ve araçları hakkında tek başına veya başkalarıyla birlikte karar veren gerçek veya tüzel kişi, kamu kurumu, kuruluş veya diğer bir birimdir.
“Veri işleyen”, sorumlu adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu kurumu, kuruluş veya diğer bir birimdir.
İlgili hukuki dayanaklar
GDPR’nin 13. maddesi uyarınca, veri işlemelerimizin hukuki dayanaklarını size bildiririz. Gizlilik politikasında hukuki dayanak belirtilmemişse şu geçerlidir: Rızaların alınmasının hukuki dayanağı GDPR madde 6(1)(a) ve madde 7; hizmetlerimizin ifası ve sözleşmesel tedbirlerin yürütülmesi ile taleplerin yanıtlanması amacıyla işlemenin hukuki dayanağı GDPR madde 6(1)(b); hukuki yükümlülüklerimizin yerine getirilmesi amacıyla işlemenin hukuki dayanağı GDPR madde 6(1)(c); meşru menfaatlerimizin korunması amacıyla işlemenin hukuki dayanağı GDPR madde 6(1)(f)’dir. İlgili kişinin veya başka bir gerçek kişinin hayati menfaatlerinin kişisel verilerin işlenmesini gerekli kıldığı durumlarda, GDPR madde 6(1)(d) hukuki dayanak olarak hizmet eder.
Güvenlik önlemleri
GDPR’nin 32. maddesi uyarınca; tekniğin güncel durumu, uygulama maliyetleri ve işlemenin türü, kapsamı, koşulları ve amaçları ile gerçek kişilerin hak ve özgürlükleri açısından riskin gerçekleşme olasılığı ve şiddetinin farklılıklarını dikkate alarak, riske uygun bir koruma düzeyi sağlamak için uygun teknik ve organizasyonel önlemler alırız.
Önlemler özellikle; verilere fiziksel erişimin kontrolü ile bunlara erişim, giriş, aktarım, kullanılabilirliğin güvence altına alınması ve ayrıştırılması yoluyla verilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanmasını içerir. Ayrıca, ilgili kişi haklarının kullanılmasını, verilerin silinmesini ve veri güvenliği ihlallerine karşı reaksiyonu güvence altına alan prosedürler oluşturduk. Bunun yanı sıra, donanım, yazılım ve prosedürlerin geliştirilmesi veya seçimi sırasında, teknik tasarımla veri koruma ve veri korumaya uygun varsayılan ayarlar ilkesi doğrultusunda (GDPR madde 25) kişisel verilerin korunmasını dikkate alırız.
Veri işleyenler ve üçüncü kişilerle iş birliği
İşleme faaliyetlerimiz kapsamında verileri diğer kişi ve şirketlere (veri işleyenlere veya üçüncü kişilere) açıklamamız, onlara aktarmamız veya başka şekilde verilere erişim sağlamamız, yalnızca yasal bir izin temelinde (örn. ödeme hizmeti sağlayıcıları gibi üçüncü kişilere veri aktarımının sözleşmenin ifası için GDPR madde 6(1)(b) uyarınca gerekli olması), sizin rıza vermeniz, bir hukuki yükümlülüğün bunu öngörmesi veya meşru menfaatlerimiz temelinde (örn. temsilciler, web barındırma hizmeti sağlayıcıları vb. kullanımı) gerçekleşir.
Üçüncü kişileri, “veri işleme sözleşmesi” kapsamında verilerin işlenmesiyle görevlendirmemiz halinde, bu GDPR’nin 28. maddesi temelinde yapılır.
Üçüncü ülkelere aktarımlar
Verileri bir üçüncü ülkede (yani Avrupa Birliği (AB) veya Avrupa Ekonomik Alanı (AEA) dışında) işlememiz veya bunun üçüncü taraf hizmetlerinden yararlanma ya da verilerin üçüncü kişilere açıklanması/aktarılması kapsamında gerçekleşmesi halinde, bu yalnızca (ön) sözleşmesel yükümlülüklerimizin yerine getirilmesi için, rızanız temelinde, bir hukuki yükümlülük nedeniyle veya meşru menfaatlerimiz temelinde yapılır. Yasal veya sözleşmesel izinler saklı kalmak kaydıyla, verileri bir üçüncü ülkede yalnızca GDPR madde 44 ve devamındaki özel şartlar mevcutsa işler veya işlettiririz. Yani işleme örneğin, AB’ye uygun bir veri koruma düzeyinin resmen tanınmasına ilişkin karar gibi özel güvenceler temelinde (örn. ABD için “Privacy Shield” aracılığıyla) veya resmen tanınan özel sözleşmesel yükümlülüklere (sözde “standart sözleşme maddeleri”) uyulması suretiyle gerçekleştirilir.
GDPR’nin 15. maddesi uyarınca, ilgili verilerin işlenip işlenmediğine dair teyit talep etme, bu veriler hakkında bilgi alma ve ayrıca diğer bilgilere ve verilerin bir kopyasına erişme hakkına sahipsiniz.
GDPR’nin 16. maddesi uyarınca, size ilişkin verilerin tamamlanmasını veya size ilişkin yanlış verilerin düzeltilmesini talep etme hakkına sahipsiniz.
GDPR’nin 17. maddesi uyarınca, ilgili verilerin derhal silinmesini talep etme veya alternatif olarak GDPR’nin 18. maddesi uyarınca verilerin işlenmesinin kısıtlanmasını talep etme hakkına sahipsiniz.
GDPR’nin 20. maddesi uyarınca, bize sağladığınız size ilişkin verileri alma ve bunların diğer sorumlulara aktarılmasını talep etme hakkına sahipsiniz.
Ayrıca GDPR’nin 77. maddesi uyarınca, yetkili denetim makamına şikâyette bulunma hakkına sahipsiniz.
Rızanın geri alınması hakkı
GDPR madde 7(3) uyarınca, vermiş olduğunuz rızaları ileriye dönük olarak geri alma hakkına sahipsiniz.
İtiraz hakkı
GDPR’nin 21. maddesi uyarınca, size ilişkin verilerin gelecekteki işlenmesine her zaman itiraz edebilirsiniz. İtiraz özellikle doğrudan reklam amaçlı işleme faaliyetlerine karşı yapılabilir.
“Çerezler”, kullanıcıların bilgisayarlarında saklanan küçük dosyalardır. Çerezler içinde farklı bilgiler saklanabilir. Bir çerez, öncelikle bir kullanıcıya (veya çerezin kaydedildiği cihaza) ilişkin bilgileri, çevrimiçi hizmet içindeki ziyaret sırasında veya ziyaret sonrasında saklamaya yarar. Geçici çerezler, yani “oturum çerezleri” veya “geçici çerezler”, bir kullanıcı çevrimiçi hizmetten ayrıldıktan ve tarayıcısını kapattıktan sonra silinen çerezlerdir. Örneğin böyle bir çerezde, bir çevrimiçi mağazadaki alışveriş sepetinin içeriği veya oturum açma durumu saklanabilir. “Kalıcı” veya “persistent” çerezler ise tarayıcı kapatıldıktan sonra da saklanmaya devam eden çerezlerdir. Örneğin kullanıcılar birkaç gün sonra tekrar ziyaret ettiğinde oturum açma durumu saklanabilir. Aynı şekilde, bu tür bir çerezde kullanıcıların ilgi alanları da saklanabilir ve erişim ölçümü veya pazarlama amaçları için kullanılabilir. “Üçüncü taraf çerezi”, çevrimiçi hizmeti işleten sorumlu dışındaki sağlayıcılar tarafından sunulan çerezlerdir (aksi halde, yalnızca sorumlunun çerezleri söz konusuysa “birinci taraf çerezleri”nden bahsedilir).
Geçici ve kalıcı çerezler kullanabilir ve bu konuda gizlilik politikamız kapsamında bilgilendirme yaparız.
Kullanıcılar, bilgisayarlarında çerezlerin saklanmasını istemiyorlarsa, tarayıcılarının sistem ayarlarında ilgili seçeneği devre dışı bırakmaları rica olunur. Kaydedilmiş çerezler tarayıcının sistem ayarlarından silinebilir. Çerezlerin devre dışı bırakılması, bu çevrimiçi hizmetin işlevlerinde kısıtlamalara yol açabilir.
Çevrimiçi pazarlama amaçlarıyla kullanılan çerezlerin kullanımına karşı genel bir itiraz, özellikle izleme (tracking) söz konusu olduğunda, ABD sayfası http://www.aboutads.info/choices/ veya AB sayfası http://www.youronlinechoices.com/ üzerinden yapılabilir. Ayrıca, tarayıcı ayarlarında çerezleri kapatarak çerezlerin kaydedilmesi engellenebilir. Lütfen bu durumda çevrimiçi hizmetin tüm işlevlerinin kullanılamayabileceğini dikkate alınız.
Verilerin silinmesi
Tarafımızca işlenen veriler, GDPR’nin 17 ve 18. maddeleri uyarınca silinir veya işlenmesi kısıtlanır. Bu gizlilik politikasında açıkça belirtilmedikçe, tarafımızda saklanan veriler, amaçları için artık gerekli olmadıklarında ve silinmesine engel teşkil eden yasal saklama yükümlülükleri bulunmadığında silinir. Veriler, başka ve yasal olarak izin verilen amaçlar için gerekli olduğundan silinmiyorsa, işlenmeleri kısıtlanır. Yani veriler bloke edilir ve başka amaçlarla işlenmez. Bu, örneğin ticaret veya vergi hukuku nedenleriyle saklanması gereken veriler için geçerlidir.
Almanya’daki yasal düzenlemelere göre saklama, özellikle §§ 147 Abs. 1 AO, 257 Abs. 1 Nr. 1 ve 4, Abs. 4 HGB uyarınca 10 yıl (defterler, kayıtlar, durum raporları, muhasebe belgeleri, ticari defterler, vergilendirme açısından ilgili belgeler vb.) ve § 257 Abs. 1 Nr. 2 ve 3, Abs. 4 HGB uyarınca 6 yıl (ticari yazışmalar) olarak uygulanır.
Avusturya’daki yasal düzenlemelere göre saklama, özellikle § 132 Abs. 1 BAO uyarınca 7 yıl (muhasebe belgeleri, fişler/faturalar, hesaplar, belgeler, iş evrakları, gelir ve gider dökümü vb.), taşınmazlarla bağlantılı olarak 22 yıl ve AB üye devletlerinde girişimci olmayanlara sunulan ve Mini-One-Stop-Shop (MOSS) kapsamında yararlanılan elektronik hizmetler ile telekomünikasyon, radyo ve televizyon hizmetlerine ilişkin belgelerde 10 yıl olarak uygulanır.
Sözleşmesel hizmetler
Sözleşme ortaklarımızın ve ilgililerin yanı sıra diğer işverenlerin, müşterilerin, müvekkillerin, danışanların veya sözleşme ortaklarının verilerini (birlikte “sözleşme ortakları” olarak anılacaktır) GDPR madde 6(1)(b) uyarınca, kendilerine karşı sözleşmesel veya sözleşme öncesi hizmetlerimizi sunmak amacıyla işleriz. Bu kapsamda işlenen verilerin türü, kapsamı, amacı ve işlenmesinin gerekliliği, ilgili sözleşme ilişkisine göre belirlenir.
İşlenen veriler arasında sözleşme ortaklarımızın temel verileri (örn. adlar ve adresler), iletişim verileri (örn. e-posta adresleri ve telefon numaraları) ile sözleşme verileri (örn. yararlanılan hizmetler, sözleşme içerikleri, sözleşmesel iletişim, irtibat kişileri adları) ve ödeme verileri (örn. banka bilgileri, ödeme geçmişi) yer alır.
Özel nitelikli kişisel veri kategorilerini kural olarak işlemeyiz; ancak bunlar, görevlendirilmiş veya sözleşmeye uygun bir işlemenin parçası ise istisna olabilir.
Sözleşmesel hizmetlerin kurulması ve yerine getirilmesi için gerekli olan verileri işler ve sözleşme ortakları açısından açık değilse, bu verilerin sağlanmasının gerekliliğine işaret ederiz. Harici kişi veya şirketlere açıklama yalnızca bir sözleşme kapsamında gerekli olduğunda yapılır. Bir görev kapsamında bize bırakılan verileri işlerken, işverenlerin talimatlarına ve yasal düzenlemelere uygun hareket ederiz.
Çevrimiçi hizmetlerimizden yararlanılması kapsamında, ilgili kullanıcı işleminin IP adresini ve zamanını kaydedebiliriz. Bu kayıt, meşru menfaatlerimiz ile kullanıcıların kötüye kullanım ve diğer yetkisiz kullanıma karşı korunma menfaatleri temelinde yapılır. Bu verilerin üçüncü kişilere aktarılması kural olarak yapılmaz; ancak GDPR madde 6(1)(f) uyarınca haklarımızın takibi için gerekli olması veya GDPR madde 6(1)(c) uyarınca yasal bir yükümlülük bulunması halinde istisna söz konusu olabilir.
Veriler, sözleşmesel veya yasal özen yükümlülüklerinin yerine getirilmesi ile olası garanti ve benzeri yükümlülüklerin yönetimi için artık gerekli olmadığında silinir; verilerin saklanmasının gerekliliği her üç yılda bir gözden geçirilir. Bunun dışında yasal saklama yükümlülükleri geçerlidir.
İletişime geçme
Bizimle iletişime geçildiğinde (örn. iletişim formu, e-posta, telefon veya sosyal medya aracılığıyla), kullanıcının verdiği bilgiler, iletişim talebinin işlenmesi ve sonuçlandırılması için GDPR madde 6(1)(b) (sözleşmesel/sözleşme öncesi ilişkiler kapsamında) ve GDPR madde 6(1)(f) (diğer talepler) uyarınca işlenir. Kullanıcıların bilgileri bir Müşteri İlişkileri Yönetimi sistemi (“CRM sistemi”) veya benzer bir talep organizasyonunda saklanabilir.
Talepleri, artık gerekli olmadıklarında sileriz. Gerekliliği iki yılda bir kontrol ederiz; ayrıca yasal arşivleme yükümlülükleri geçerlidir.
Google Universal Analytics
Google Analytics’i “Universal-Analytics” biçiminde kullanırız. “Universal Analytics”, kullanıcı analizinin takma adlı bir kullanıcı kimliği temelinde yapıldığı ve böylece kullanıcının farklı cihazları kullanmasına ilişkin bilgilerden (sözde “Cross-Device-Tracking”) takma adlı bir kullanıcı profili oluşturulduğu bir Google Analytics yöntemidir.
Üçüncü taraf hizmet ve içeriklerinin entegrasyonu
Çevrimiçi hizmetimiz kapsamında, meşru menfaatlerimiz temelinde (yani GDPR madde 6(1)(f) anlamında çevrimiçi hizmetimizin analiz edilmesi, optimize edilmesi ve ekonomik olarak işletilmesine yönelik menfaat) üçüncü taraf sağlayıcıların içerik veya hizmet tekliflerini, içeriklerini ve hizmetlerini (örn. videolar veya yazı tipleri) entegre etmek için kullanırız (bundan sonra birlikte “içerikler” olarak anılacaktır).
Bu, her zaman, bu içeriklerin üçüncü taraf sağlayıcılarının kullanıcıların IP adresini algılamasını gerektirir; çünkü IP adresi olmadan içerikleri kullanıcıların tarayıcısına gönderemezler. Dolayısıyla IP adresi, bu içeriklerin görüntülenmesi için gereklidir. Yalnızca, ilgili sağlayıcıların IP adresini sadece içeriklerin sunulması için kullandığı içerikleri kullanmaya gayret ederiz. Üçüncü taraf sağlayıcılar ayrıca istatistik veya pazarlama amaçlarıyla “pixel tag” (görünmez grafikler, “web beacon” olarak da adlandırılır) kullanabilir. “Pixel tag”ler aracılığıyla, bu web sitesinin sayfalarındaki ziyaretçi trafiği gibi bilgiler değerlendirilebilir. Takma adlı bilgiler ayrıca kullanıcıların cihazlarında çerezlerde saklanabilir ve diğerlerinin yanı sıra tarayıcı ve işletim sistemine ilişkin teknik bilgiler, yönlendiren web siteleri, ziyaret zamanı ve çevrimiçi hizmetimizin kullanımına ilişkin diğer bilgileri içerebilir; ayrıca bu tür bilgiler diğer kaynaklardan gelen bilgilerle birleştirilebilir.
YouTube
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, ABD sağlayıcısına ait “YouTube” platformunun videolarını entegre ederiz. Gizlilik politikası: https://www.google.com/policies/privacy/, Opt-Out: https://adssettings.google.com/authenticated.
Google Fonts
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, ABD sağlayıcısına ait yazı tiplerini (“Google Fonts”) entegre ederiz. Gizlilik politikası: https://www.google.com/policies/privacy/, Opt-Out: https://adssettings.google.com/authenticated.
Google Maps
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, ABD sağlayıcısına ait “Google Maps” hizmetinin haritalarını entegre ederiz. İşlenen veriler arasında özellikle kullanıcıların IP adresleri ve konum verileri yer alabilir; ancak bunlar, kullanıcıların rızası olmaksızın (kural olarak mobil cihaz ayarları kapsamında) toplanmaz. Veriler ABD’de işlenebilir. Gizlilik politikası: https://www.google.com/policies/privacy/, Opt-Out: https://adssettings.google.com/authenticated.
RA Dr. Thomas Schwenke tarafından Datenschutz-Generator.de ile oluşturulmuştur
